Security 使用多因素登录时是否需要密码?
我正在设计一个多因素登录。如果用户在我的网站上输入他们的登录名并提交,我将用临时代码向他们发送文本。一旦他们提交,我们将创建一个会话id并完成登录过程。是否需要让用户在此过程中输入密码?这是最佳做法吗?是的,需要密码。如上所述,用户无需输入密码。这实际上只是单因素验证。MFA通常是你知道的东西(密码)加上你拥有的东西(电话、指纹、手的几何结构等)。在您的设计中,有人可以窃取用户的手机,然后他们可以通过登录,前提是他们知道目标用户的用户名 还有一个恼人的副作用,如果我知道某人的登录名,我可以用你的短信向他们发送垃圾邮件Security 使用多因素登录时是否需要密码?,security,login,two-factor-authentication,Security,Login,Two Factor Authentication,我正在设计一个多因素登录。如果用户在我的网站上输入他们的登录名并提交,我将用临时代码向他们发送文本。一旦他们提交,我们将创建一个会话id并完成登录过程。是否需要让用户在此过程中输入密码?这是最佳做法吗?是的,需要密码。如上所述,用户无需输入密码。这实际上只是单因素验证。MFA通常是你知道的东西(密码)加上你拥有的东西(电话、指纹、手的几何结构等)。在您的设计中,有人可以窃取用户的手机,然后他们可以通过登录,前提是他们知道目标用户的用户名 还有一个恼人的副作用,如果我知道某人的登录名,我可以用你的
最好的做法是让用户使用用户名+密码登录,一旦用户通过,您会询问他们是否要发送短信。是的,需要密码。如上所述,用户无需输入密码。这实际上只是单因素验证。MFA通常是你知道的东西(密码)加上你拥有的东西(电话、指纹、手的几何结构等)。在您的设计中,有人可以窃取用户的手机,然后他们可以通过登录,前提是他们知道目标用户的用户名 还有一个恼人的副作用,如果我知道某人的登录名,我可以用你的短信向他们发送垃圾邮件
最好的做法是让用户使用用户名+密码登录,一旦他们通过,您会询问他们是否要发送文本消息。如果您不需要密码,那么您将依赖临时代码作为唯一的因素 这意味着有人可能会偷我的手机(或者干脆就偷了),甚至不需要我的密码就可以访问这个帐户
不,这不是一个好的做法。如果您不需要密码,那么您将依赖临时代码作为唯一的因素 这意味着有人可能会偷我的手机(或者干脆就偷了),甚至不需要我的密码就可以访问这个帐户
不,这不是一个好做法。为什么您不想要密码+临时代码?如果我没有密码,我就不必处理存储、历史记录、复杂性和重置。我还觉得登录名是你知道的。这是第一个因素。我不认为懒惰是一件坏事。登录名不算“你知道的东西”,因为它是“每个人都知道的东西”。我们有一个登录名和一个用户名。登录名仅在登录时使用。你说的每个人都是指网站管理员?但是他们可以更改电话号码并重置密码。我认为你无法抵御这种威胁?为什么你不想要密码+临时代码?如果我没有密码,我就不必处理存储、历史、复杂性和重置。我还觉得登录名是你知道的。这是第一个因素。我不认为懒惰是一件坏事。登录名不算“你知道的东西”,因为它是“每个人都知道的东西”。我们有一个登录名和一个用户名。登录名仅在登录时使用。你说的每个人都是指网站管理员?但是他们可以更改电话号码并重置密码。我不认为你能抵抗那种威胁?